Manual Práctico de Protección de Datos

Transcripción

MANUAL PRACTICO DE PROTECCION DE DATOS
INDICE DE FICHAS (1)
0.a
FICHA I: LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
¿Qué es la protección de datos de carácter personal?
¿Dónde se regula?
¿A qué me obliga como empresario?
¿Qué consecuencias puede tener su incumplimiento?
FICHA II: LOS DATOS DE CARÁCTER PERSONAL
¿Qué son datos de carácter personal?
Los datos especialmente protegidos.
Los datos disociados.
Tipología de datos personales.
FICHA III: LOS FICHEROS DE DATOS PERSONALES
¿Qué son los ficheros de datos personales?
¿Qué tipo de ficheros puede tener mi empresa?.
¿Puedo como empresario crear y mantener ficheros de datos personales?
¿Qué obligaciones asume mi empresa por crear y mantener ficheros?
FICHA IV: EL TRATAMIENTO DE DATOS PERSONALES (1). Cuestiones generales
¿Qué es?
¿Qué tratamientos de datos están sometidos a la legislación española?
¿Todos los tratamientos están sometidos a la LOPD?
¿Es lícito cualquier tratamiento de datos?
FICHA V: EL TRATAMIENTO DE DATOS PERSONALES (2). Los sujetos del tratamiento
¿Qué diferentes personas intervienen en el tratamiento?
¿Quién es el responsable del tratamiento?
¿Quién es el afectado o interesado?
¿Quién es el encargado del tratamiento?
FICHA VI: PROCEDENCIA DE LOS DATOS (1). Primera parte
¿Qué es?
¿Cuándo obtengo los datos directamente del interesado?
¿Por qué procedimientos puedo recabar datos de los particulares?
¿A qué está la empresa obligada cuando pide los datos al interesado?
FICHA VII: PROCEDENCIA DE LOS DATOS (2). Segunda parte
¿Qué es la obtención de datos de fuentes accesibles al público?
¿Cuáles son las fuentes accesibles al público?
¿A qué está obligada la empresa cuando obtiene los datos de fuentes accesibles al público?
Los datos obtenidos de terceros
FICHA VIII: LA INFORMACIÓN A LOS AFECTADOS
¿Qué es?
¿Cuándo procede?
¿Cómo y cuándo debo hacerlo?
Modelo de cláusula informativa.
FICHA IX: EL CONSENTIMIENTO DEL AFECTADO
¿Qué es?
¿Cuándo es necesario?
¿Cuándo no es necesario?
Modelo de cláusula de consentimiento expreso.
FICHA X: CESION DE DATOS
¿Qué es?
¿Qué es necesario para ceder datos?
Supuestos de cesiones legales.
Modelo de cláusula de cesión.
FICHA XI: ACCESO A DATOS POR CUENTA DE TERCEROS (1). Primera parte
¿Qué es?
¿Qué necesito?
Obligaciones del encargado del tratamiento.
Modelo de cláusula contractual.
FICHA XII: ACCESO A DATOS POR CUENTA DE TERCEROS (2). Segunda parte
Continuación del modelo de cláusula contractual
LEGALIA
COMPAÑIA DE SERVICIOS JURIDICOS
INDICE DE FICHAS (2)
0.b
FICHA XIII: LA CALIDAD DE LOS DATOS
¿Qué es?
La pertinencia de los datos.
Adecuación del tratamiento.
La actualización de los datos.
FICHA XIV: LA SEGURIDAD DE LOS DATOS (1). Primera parte
¿Qué es?
¿Qué niveles de seguridad existen?
Medidas de seguridad de nivel básico.
Medidas de seguridad de nivel medio.
FICHA XV: LA SEGURIDAD DE LOS DATOS (2). Segunda parte
Medidas de seguridad de nivel alto.
Plazos de implantación de las medidas.
Especial referencia al documento de seguridad.
La figura del responsable de seguridad.
FICHA XVI: EL DEBER DE SECRETO Y LA CONFIDENCIALIDAD
¿Qué es?
¿A quién se extiende?
¿Cómo garantizar su cumplimiento?
Modelo de cláusula de confidencialidad para contratos de trabajo.
FICHA XVII: TRANSFERENCIA INTERNACIONAL DE DATOS
¿Qué es?
Requisitos.
Evaluación por la Agencia.
Excepciones.
FICHA XVIII: LOS DERECHOS DE LOS INTERESADOS (1). Primera parte
¿A qué obligan a la empresa los derechos de los interesados?
El derecho de impugnación de valoraciones.
El derecho de consulta al Registro.
El derecho de acceso.
FICHA XIX: LOS DERECHOS DE LOS INTERESADOS (2). Segunda parte
El derecho de rectificación.
El derecho de cancelación.
El derecho de oposición.
La tutela de los derechos.
FICHA XX: LA AGENCIA DE PROTECCIÓN DE DATOS (1). Cuestiones generales
¿Qué es?
¿Para qué sirve?
La facultad inspectora.
FICHA XXI: LA AGENCIA DE PROTECCIÓN DE DATOS (2). La potestad sancionadora
¿Qué es?
Infracciones.
Sanciones.
FICHA XXII: LA INSCRIPCIÓN DE LOS FICHEROS
¿Qué es?
¿Quién y cuándo tiene que llevarla a cabo?
¿Cómo se hace?
¿Dónde se inscriben los ficheros?
FICHA XXIII: LA MODIFICACIÓN DE LOS FICHEROS
¿Qué es?
¿Cómo se hace?
¿Dónde se notifica?
FICHA XXIV: LA SUPRESIÓN DE LOS FICHEROS
¿Qué es?
¿Cómo se hace?
-
¿Dónde se notifica?
LEGALIA
LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
I
¿Qué es la protección de datos de carácter personal?
Es un derecho fundamental de las personas físicas, que busca proteger su intimidad y
su privacidad frente a las vulneraciones de tales derechos que puedan proceder de la
recogida y almacenamiento de sus datos personales por empresas o entidades.
Derivados de dicho derecho fundamental, el Ordenamiento Jurídico español, y el de la
Comunidad Europea, reconoce a las personas una serie de derechos en relación con sus
datos personales que las empresas deben respetar, e impone una serie de obligaciones
formales y sustantivas que dichas empresas deben cumplir.
¿Dónde se regula?
!
!
!
!
!
!
Artículo 18.4 de la Constitución Española de 1978
L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
R.D. 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de
Seguridad de ficheros automatizados con datos de carácter personal.
R.D. 1.332/1994, de 20 de junio, que desarrolla la L.O. 5/1992, de 29 de octubre.
Instrucciones de la Agencia de Protección de Datos.
R.D. 428/1993, de 26 de marzo, que aprueba el Estatuto de la APD.
¿A qué me obliga como empresario?
La protección de datos de carácter personal me obliga a respetar el derecho a la
intimidad y la privacidad de las personas titulares de los datos que mi empresa tiene
recogidos y almacenados.
Para ello debo cumplir las obligaciones formales y sustantivas que la normativa indicada
impone a quienes tratan datos de carácter personal, y respetar y facilitar el ejercicio de
los derechos que la misma normativa reconoce a sus titulares.
¿Qué consecuencias puede tener su incumplimiento?
Tanto por denuncia de los titulares de los datos, como de oficio, mi empresa puede ser
inspeccionada por la Agencia de Protección de Datos (ficha XX), que, si comprueba el
incumplimiento de las obligaciones impuestas por la normativa, o la vulneración de
derechos de los titulares de los datos, puede iniciar un expediente sancionador, e
imponerme multas cuyo importe puede ascender a seiscientos mil euros (600.000 €).
Normativa de aplicación:
Para saber más:
La normativa de aplicación básica arriba
citada.
Páginas 1 a 3 del anexo I.
LEGALIA
II
LOS DATOS DE CARÁCTER PERSONAL
¿Qué son los datos de carácter personal?
Constituye un dato de carácter personal, y está protegida por el Ordenamiento Jurídico
español, cualquier información concerniente a personas físicas identificadas o
identificables, tanto la relativa a su identidad (como nombre y apellidos, domicilio,
filiación, etc...) como la relativa a su existencia y ocupaciones (estudios, trabajo,
enfermedades, etc...)
Sólo pues los datos de personas físicas, y no en cambio los datos de personas jurídicas,
como empresas, sociedades, instituciones, etc...
Los datos especialmente protegidos
Existe una serie de datos personales que, por su particular sensibilidad y por su
pertenencia a la esfera más delicada de la intimidad de las personas, cuentan con una
protección legal más intensa.
Si mi empresa tiene este tipo de datos personales recogidos y almacenados, habrá de
adoptar especiales medidas con su tratamiento.
Estos datos son los relativos a la ideología, afiliación sindical, religión, creencias, origen
racial, salud y vida sexual.
Los datos disociados
Es importante tener en cuenta que, las disposiciones relativas a la protección de datos de
carácter personal no serán de aplicación si los datos recogidos y almacenados, aunque
sean relativos a personas concretas, estén tratados de tal manera que la información que
se obtenga no pueda asociarse a persona identificada o identificable. Por ejemplo, datos
estadísticos relativos a grupos de personas sin identificar.
Este procedimiento se denomina disociación de los datos, y permitirá su tratamiento sin
someterse a las obligaciones y requisitos que la ley impone.
Tipología datos personales.
Los datos personales que mi empresa puede tener recogidos pueden ser:
1.
2.
3.
4.
De carácter identificativo
Características personales
Circunstancias sociales
Académicos y profesionales
5.
6.
7.
8.
Detalles de empleo
De información comercial
Económico financieros y de seguros
De transacciones
Para saber más:
Artículo 1º LOPD
Artículos 3.a) y 3.f) LOPD
Página 5, 6 y19 del anexo I
LEGALIA
III
LOS FICHEROS DE DATOS PERSONALES
¿Qué son los ficheros de datos personales?
Todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma
o modalidad de su creación, almacenamiento, organización y acceso, constituye lo que la
ley llama fichero.
Esto significa que la ley afecta no sólo a los datos tratados electrónicamente (bases de
datos informáticas), sino también a los almacenados en papel (archivadores con fichas de
datos ordenadas), siempre que los mismos formen un conjunto organizado.
¿Qué tipo de ficheros tiene mi empresa?
Es posible que mi empresa tenga los siguientes ficheros:
1. Fichero de Clientes Reales, con datos de mis clientes.
2. Fichero de Clientes Potenciales, con datos de personas a las que envío publicidad de
la empresa.
3. Fichero de Personal, con datos de mis trabajadores.
4. Fichero de Proveedores, con datos de mis proveedores, suministradores ....
¿Puedo como empresario crear y mantener ficheros de datos personales?
Sí. El Ordenamiento Jurídico español contempla como una actividad lícita la creación y
conservación de ficheros de titularidad privada que contengan datos de carácter
personal, siempre que ello resulte necesario para el logro de la actividad u objeto
legítimo de la empresa, y cumpla adecuadamente con las obligaciones que la ley le
impone.
Esto es lo que se denomina pertinencia de los ficheros. Cuando la finalidad para la que
fueron creados se vea cumplida, los ficheros deberán ser cancelados.
¿Qué obligaciones asume mi empresa por crear y mantener ficheros?
!
!
!
!
!
!
Inscribirlos en el Registro General de Protección de Datos (ficha XXII)
Tener cuando sea preciso el consentimiento de los titulares (ficha IX)
Informar a los titulares de la creación y finalidad del fichero (ficha VIII)
Guardar secreto y mantener la confidencialidad de los datos recogidos (ficha XVI)
Adoptar las medidas de seguridad exigidas por la legislación (fichas XIV-XV)
Permitir a los titulares de los datos el ejercicio de sus derechos (fichas XVIII-XIX)
Para saber más:
Artículo 3.b LOPD
Artículo 25 LOPD
Páginas 5, 6 y 13 del anexo I
LEGALIA
EL TRATAMIENTO DE DATOS PERSONALES (1)
IV
Cuestiones generales
¿Qué es?
La ley entiende por tratamiento de datos de carácter personal cualquier operación y
procedimiento técnico, de carácter automatizado o no, que permita su recogida,
grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las
cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias. Las operaciones de tratamiento más habituales son:
1. La recogida organizada de datos (ficha VI-VII)
2. La conservación y mantenimiento actualizado y exacto de los datos (ficha XIII)
3. La cesión de los datos a otras personas o entidades (ficha X)
¿Qué tratamientos de datos están sometidos a la legislación española?
Se rigen por la legislación española los tratamientos de datos que:
a) Se hayan efectuado en territorio español, en el marco de las actividades de un
establecimiento de la empresa, aunque la misma sea de nacionalidad extranjera.
b) Hayan sido efectuados por una empresa, aún extranjera y sin establecimiento en
España, a la que sea de aplicación la legislación española en virtud de normas de
Derecho Internacional Público.
c) Se hayan efectuado utilizando medios situados en territorio español.
¿Todos los tratamientos de datos están sometidos a la LOPD?
No. Se encuentran excluidos de la aplicación de la LOPD los siguientes:
a) Mantenidos por personas físicas en el ejercicio de actividades exclusivamente
personales o domésticas (incluidas las agendas personales de directivos).
b) Los sometidos a la normativa sobre protección de materias clasificadas.
c) Los establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada.
¿Es lícito cualquier tratamiento de datos?
No. Está expresamente prohibido por la Ley almacenar y tratar datos con la finalidad
exclusiva de disponer de información que revele la ideología, afiliación sindical, religión,
creencias, origen racial o étnico, o vida sexual de las personas.
Así mismo, los datos de carácter personal relativos a la comisión de infracciones penales
o administrativas sólo pueden incluirse en ficheros de las Administraciones públicas
competentes en los supuestos previstos en las respectivas normas reguladoras.
Para saber más:
Artículo 2 LOPD
Artículo 3.c) LOPD
Artículos 7.4 y 7.5 LOPD
Páginas 5, 9, 10 y 11 del anexo I
LEGALIA
EL TRATAMIENTO DE DATOS PERSONALES (2)
V
Los sujetos del tratamiento
¿Qué diferentes personas intervienen en el tratamiento?
Los sujetos que pueden intervenir en el tratamiento de datos personales son tres:
1. El responsable del fichero o tratamiento.
2. El afectado o interesado.
3. El encargado del tratamiento.
¿Quién es el responsable del tratamiento?
Es responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública
o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento. Podrá ser la empresa como tal (sociedad) o el empresario individual si es
persona física.
El responsable del tratamiento será el obligado a cumplir con los deberes de inscripción
del fichero, informar a los afectados, recabar el consentimiento, permitir el ejercicio de
derechos a los titulares, asegurar el secreto y confidencialidad de los datos, y garantizar
la seguridad de los mismos.
¿Quién es el afectado o interesado?
La ley considera afectado o interesado a la persona física titular de los datos que sean
objeto del tratamiento. No pueden serlo personas jurídicas (sociedades, entidades,
instituciones, etc...).
La ley reconoce al afectado los siguientes derechos (fichas XVIII-XIX):
1. Impugnación de valoraciones
2. Consulta al Registro General de
Protección de Datos.
3. Acceso a sus datos.
4. Rectificación de sus datos erróneos.
5. Cancelación de sus datos.
6. Oposición al tratamiento.
¿Quién es el encargado del tratamiento?
La Ley designa como encargado del tratamiento a la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento.
En definitiva, trata los datos, pero no decide cómo ni para qué, sino que lo hace
siguiendo las indicaciones e instrucciones del responsable, de quien puede ser un
empleado, un subordinado o un proveedor de servicios.
Para saber más:
Artículos 3.d), 3.e) y 3.g) LOPD
Páginas 5, 6, 12, 25, 26 y 37 del anexo I
LEGALIA
PROCEDENCIA DE LOS DATOS (1)
VI
Primera parte
¿Qué es?
La procedencia indica el origen y la manera de recoger u obtener los datos
almacenados en los ficheros de mi empresa. Básicamente, los datos pueden obtenerse
de:
1. Del propio interesado o su representante legal.
2. De otras personas físicas distintas del interesado o su representante legal.
3. De fuentes accesibles al público.
¿Cuándo obtengo los datos directamente del interesado?
Constituyen supuestos de obtención directa de datos personales todas aquellas
ocasiones en que el propio interesado los facilita por sí mismo a la persona o entidad
responsable del tratamiento.
Esta información se puede recabar y obtener del interesado por cualquier medio o
procedimiento, siempre que sea el mismo titular de los datos el que los facilite.
¿Por qué procedimientos puedo recabar los datos de sus titulares?
1. Encuestas o entrevistas.
2. Formularios o cupones en soporte papel.
3. Transmisión electrónica de datos.
4. Formularios telemáticos a través de Internet.
5. Por teléfono o por fax.
¿A qué está la empresa obligada cuando pide los datos al interesado?
La empresa debe cumplir con dos obligaciones fundamentales:
1. Cuando la Ley lo exige, debe obtener el consentimiento del titular de los
datos (ficha IX)
2. En todo caso, debe facilitar al interesado la información que la ley establece
(ficha VIII)
Para saber más:
Artículos 5 y 6 LOPD
Páginas 15 a 20 del anexo I
LEGALIA
PROCEDENCIA DE LOS DATOS (2)
Segunda parte
VII
¿Qué son las fuentes accesibles al público?
Las fuentes accesibles al público son fuentes de información que están a disposición
del público en general y cuya consulta puede ser realizada por cualquier persona,
siempre que no lo impida una norma.
Si las fuentes accesibles al público se editan en forma de libro o en otro soporte físico
pierden el carácter de fuente accesible al público con la nueva edición que se publique.
Es el caso de una guía telefónica. La guía telefónica del año 2002 es fuente accesible al
público en el año 2002, pero no en el año 2003.
¿Qué fuentes accesibles al público hay?
1. El censo promocional.
2. Los repertorios telefónicos, en los términos previstos por su normativa específica.
3. Listas de personas pertenecientes a grupos profesionales (listado de colegiados).
4. Diarios y boletines oficiales.
5. Los medios de comunicación (diarios de prensa, publicaciones...).
¿A qué está obligada mi empresa cuando obtiene datos de fuentes accesibles?
Si mi empresa utiliza datos obtenidos de fuentes accesibles al público para utilizarlos
con fines de publicidad y prospección comercial, almacenándolos en su Fichero de
Potenciales Clientes, tiene la obligación de informar al destinatario de (ficha VIII):
1. El origen de los datos.
2. La identidad del responsable del tratamiento.
3. Los derechos que le asisten.
Los datos obtenidos de terceros
Los datos obtenidos de terceros son una forma de obtención indirecta, al no intervenir el
afectado o interesado en la recogida.
Se trata de los supuestos en los que una persona distinta del afectado o interesado
facilita a mi empresa los datos personales de éste.
En tales casos, es conveniente que mi empresa se asegure de que la persona que me ha
facilitado los datos tenía el consentimiento del afectado para ello. Si no tengo esta
seguridad, mi empresa debe informar al afectado (ficha VIII).
Para saber más:
Artículos 3.j), 28 y 30 LOPD
Página 16 y 17 del anexo I
LEGALIA
VIII
LA INFORMACION A LOS AFECTADOS
¿Qué es?
La información es un derecho que tiene el titular de los datos y una obligación
correlativa de mi empresa, como responsable de los ficheros que almacenan
información relativa a esa persona.
La LOPD regula y establece el contenido de la información mínima que mi empresa debe
dar a los titulares de los datos personales que son objeto de tratamiento en los ficheros.
¿Cuándo procede?
La información al titular de los datos se configura como un deber básico que tiene el
responsable de los ficheros.
Como regla general, la información debe facilitarse en el momento en que se solicitan los
datos al afectado y comprende los siguientes aspectos: (1)la existencia del fichero o
tratamiento, (2)la finalidad, (3)la identidad y dirección del responsable del fichero, (4)los
derechos que tiene el afectado, (5)el carácter obligatorio o facultativo de la respuesta a
las preguntas que se les planteen y (6)las consecuencias de la negativa a facilitar los
datos.
¿Cómo y cuándo debo hacerlo?
-
Si utilizo un cuestionario o impreso en papel o un formulario informático de recogida
de datos, debe incluir una cláusula informativa legible.
Si los datos proceden de fuentes accesibles al público y los utilizo con fines
publicitarios, debo incluir la cláusula informativa en cada documento publicitario que
envíe. En este caso, debo informar del origen de los datos, la identidad del
responsable y los derechos que tiene.
Modelo de cláusula informativa
Cláusula informativa relativa al Fichero de Clientes:
“La información que Ud. nos facilita será incluida en el Fichero denominado [clientes] de
la empresa XXX, con la finalidad de [gestionar los pedidos que nos haga y poder
atenderle adecuadamente]. Si lo desea puede ejercitar los derechos de acceso,
rectificación, cancelación y oposición, indicándolo por escrito a la empresa XXX, dirección
YYY (Ley Orgánica 15/1999, de 13 de diciembre)”.
Para saber más:
Páginas 15 y 16 del anexo I
LEGALIA
IX
EL CONSENTIMIENTO DEL AFECTADO
¿Qué es?
Es la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la
cual el afectado consiente a mi empresa el tratamiento de sus datos personales.
El consentimiento está íntimamente ligado a la información al afectado, porque no puede
consentir aquello que no conoce.
El consentimiento puede ser, en general, tácito, pero debe ser expreso para el
tratamiento de todos los datos especialmente protegidos (ficha II) y además escrito si
son datos relativos a la ideología, afiliación sindical, religión o creencias.
¿Cuándo es necesario?
Como regla general, la obtención del consentimiento del afectado para tratar sus datos
personales será preciso siempre.
Salvo las excepciones que después se analizarán, la LOPD establece que el responsable
de los ficheros tiene que obtener el consentimiento inequívoco de los titulares de los
datos almacenados y tratados por él.
¿Cuándo no es necesario?
Mi empresa no tiene la obligación de obtener el consentimiento del afectado para
tratar sus datos en los ficheros, cuando:
1. Una ley así lo disponga.
2. Los datos se refieran a las partes de un contrato o precontrato, o se recojan
en el seno de una relación negocial o laboral y son necesarios para su
mantenimiento o cumplimiento. Es el caso de los datos de mis proveedores.
3. Los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción de un interés legítimo perseguido por mi
empresa.
Modelo de cláusula de consentimiento expreso
Cuando el consentimiento sea necesario, es aconsejable obtenerlo de forma vinculada a
la información que debemos dar al afectado, que deberá firmar un cláusula similar a:
“He sido informado de que los datos que facilito serán incluidos en el Fichero denominado
[clientes] de la empresa [responsable], con la finalidad de [gestionar los pedidos que nos
haga y poder atenderle adecuadamente] y manifiesto mi consentimiento. También se me
ha informado de la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición, indicándolo por escrito a la empresa [responsable] (Ley Orgánica
15/1999, de 13 de diciembre)”
Para saber más:
Artículos 3.h), 6 y 7 LOPD
LEGALIA
X
LA CESION DE DATOS
¿Qué es?
La LOPD define la cesión o comunicación como toda revelación de datos realizada a
una persona distinta del afectado o interesado.
Por ejemplo, mi empresa está cediendo los datos almacenados en su Fichero de Clientes
cuando facilita a otra empresa un listado con el nombre, apellidos y dirección de dichos
clientes.
¿Qué es necesario para ceder datos?
Si mi empresa quiere ceder a un tercero los datos personales almacenados en los
ficheros, debe cumplir dos requisitos como regla general:
1. Informar al titular de los datos del tipo de actividad a la que se dedica el
tercero o la finalidad para la que este tercero va a tratar sus datos.
2. Obtener el consentimiento previo del afectado.
Supuestos de cesiones legales
Son cesiones legales las comunicaciones de los datos personales que están
amparadas por una ley que autoriza la cesión.
En estos supuestos, mi empresa no tiene la obligación de informar ni de obtener el
consentimiento previo del titular de los datos.
Constituyen cesiones legales: la comunicación de los datos de los trabajadores que mi
empresa realiza a la Seguridad Social, o los datos que me soliciten los Juzgados o
Tribunales.
Modelo de cláusula de cesión
Cuando esté prevista la posible cesión de datos de un fichero, la cláusula de información
y consentimiento deberá completarse de la siguiente manera:
“He sido informado de que los datos que facilito serán incluidos en el Fichero denominado
[clientes] de la empresa [responsable], con la finalidad de [finalidad del fichero] y
manifiesto mi consentimiento. Asimismo autorizo la comunicación de mis datos a la
empresa [empresas del grupo] con la finalidad de [recibir información comercial].
También se me ha informado de la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición, indicándolo por escrito a la empresa [responsable]
(Ley Orgánica 15/1999, de 13 de diciembre)”.
Para saber más:
Artículos 3.j) y 11 LOPD
LEGALIA
ACCESO A DATOS POR CUENTA DE TERCEROS
XI
PRIMERA PARTE
¿Qué es?
Consiste en permitir y facilitar a un tercero ajeno a mi empresa el acceso y el
tratamiento de datos personales incluidos en ficheros de los que sea responsable, con
la finalidad exclusiva de la prestación de un servicio por ese tercero a mi empresa.
No se considera por la ley un supuesto de comunicación de datos.
Es el supuesto, por ejemplo, en el que se facilitan los datos de los trabajadores de mi
empresa a una gestoría contratada para que prestar el servicio de gestión de las nóminas
¿Qué necesito?
La realización de tratamientos por cuenta de terceros debe estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su
celebración y contenido, estableciéndose expresamente que:
-
El encargado del tratamiento sólo tratará los datos según las instrucciones del
responsable.
No los aplicará con fines distintos, ni los comunicará a terceros.
Las medidas de seguridad que debe adoptar.
-
Obligaciones del encargado del tratamiento
El encargado del tratamiento tiene las siguientes obligaciones:
-
Tratar los datos conforme a las instrucciones que le dé el responsable del fichero.
No aplicarlos con finalidades distintas ni comunicarlos a terceros.
Adoptar las medidas de seguridad necesarias (fichas XIV-XV).
Finalizada la prestación del servicio, devolver o destruir los documentos o
soportes en que figuren los datos.
Modelo de cláusula contractual
“1. La empresa [encargado del tratamiento] se compromete y obliga a que los datos de carácter
personal pertenecientes al fichero de datos propiedad del [responsable del fichero], a los que acceda en virtud
del presente contrato, serán tratados de acuerdo con las estipulaciones del artículo 12 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante designada como
LOPD).
2. La empresa [encargado del tratamiento] se compromete y obliga a tratar los datos de carácter
personal a los que acceda en virtud del presente contrato:
(i)
exclusivamente para la realización de la actividades objeto del presente contrato
conforme a las instrucciones dirigidas por el [responsable del fichero]
(ii)
sin utilizarlos o aplicarlos con un fin distinto al que figura en el presente contrato
ni comunicarlos, transmitirlos ni cederlos, ni siquiera para su conservación, a otras
personas, físicas o jurídicas.
LEGALIA
ACCESO A DATOS POR CUENTA DE TERCEROS
XII
PARTE SEGUNDA
Es continuación de la ficha anterior (modelo de cláusula contractual de acceso)
3. La empresa [encargado del tratamiento], de acuerdo a lo dispuesto en el artículo 9 de la LOPD y el
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los
ficheros automatizados que contengan datos de carácter personal (en adelante, designado como RMS), deberá
implementar y adoptar las medidas de seguridad de índole técnica y organizativa adecuadas y necesarias,
habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural, que garanticen la seguridad de los
datos de carácter personal a los que acceda en virtud del presente contrato al objeto de evitar su alteración,
pérdida, tratamiento o acceso no autorizado.
A los únicos efectos del presente contrato y de acuerdo con las características de los datos de carácter
personal a los que accede la empresa [encargado del tratamiento], las medidas de seguridad que deberá
adoptar serán las correspondientes al nivel básico de acuerdo con lo que a tal efecto dispone el artículo 12 de la
LOPD y 4 del RMS.
4. Una vez cumplido lo estipulado en el presente contrato la empresa [encargado del tratamiento] deberá
proceder a la destrucción o en su caso, según las instrucciones que al respecto se le den, devolución de los
datos de carácter personal y de los soportes o documentos en que conste algún dato que provengan del fichero
de datos propiedad de [responsable del fichero], sin conservar copia alguna del mismo y sin que ninguna
persona, física o jurídica, entre en conocimiento de los datos.
5. En el caso de que la empresa [encargado del tratamiento] destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido, eximiendo expresamente al
[responsable del fichero] acerca de cualquier responsabilidad respecto al cumplimiento, en las actividades
objeto del presente contrato, de todos los deberes y obligaciones impuestos por la LOPD y su normativa de
desarrollo.
6. De acuerdo con lo dispuesto en el artículo 10 de la LOPD, la empresa [encargado del tratamiento] se
compromete y obliga a guardar secreto de todos los datos de carácter personal que conozca y a los que tenga
acceso en virtud del presente contrato. Igualmente, deberá custodiar e impedir el acceso a los datos de
carácter personal a cualquier persona ajena a la empresa [encargado del tratamiento].
Las anteriores obligaciones se extienden en cualquier fase del tratamiento que de esos datos pudiera
realizarse y subsistirán aún después de terminados los mismos.”
Para saber más:
Artículos 3.g) y 12 LOPD
LEGALIA
XIII
LA CALIDAD DE LOS DATOS
¿Qué es?
La calidad de los datos personales es el conjunto de obligaciones que tiene mi
empresa, como responsable de los ficheros, que afectan al tratamiento de los datos
durante su vigencia. Básicamente comprende las siguientes obligaciones:
-
Pertinencia de los datos.
Adecuación del tratamiento.
Actualización de los datos.
La pertinencia de los datos
La pertinencia de los datos es el deber que tiene mi empresa de almacenar sólo
aquellos datos personales que sean adecuados y necesarios para cumplir las
finalidades para las que han sido recogidos y el deber que tiene de cancelarlos cuando
dejan de serlo.
Por ejemplo, en un Fichero de Proveedores, mi empresa puede tener datos de
identificación del proveedor, de los productos o servicios que suministra..., pero no
serían pertinentes en un Fichero de Proveedores, datos relativos a sus creencias o
ideología.
Adecuación del tratamiento
La adecuación del tratamiento supone que mi empresa sólo puede tratar los datos
personales almacenados en sus ficheros con la finalidad para la que se han
obtenido, que es la finalidad de la que se informó al titular de los datos.
Si mi empresa ha informado al cliente de que sus datos se van a utilizar con la única
finalidad de gestionar los pedidos que haga, no puede utilizarlos luego para enviarle
publicidad de nuevos productos o servicios.
La actualización de los datos
La LOPD dice que los datos de carácter personal serán exactos y puestos al día, de
forma que respondan con veracidad a la situación actual del afectado.
Supone que mi empresa, en cuanto tenga conocimiento por cualquier medio, de que un
dato no es correcto o ha cambiado (por ejemplo, es erróneo el apellido de un cliente o ha
cambiado la dirección de un proveedor), debe rectificar o actualizar ese dato.
Mi empresa es la primera interesada en que los datos almacenados en los ficheros sean
correctos y estén actualizados.
Para saber más:
Artículo 4 LOPD
LEGALIA
LA SEGURIDAD DE LOS DATOS
XIV
PRIMERA PARTE
¿Qué es?
La seguridad de los datos personales se manifiesta en el deber que tiene el
responsable de los ficheros de adoptar las medidas de índole técnica y organizativas
necesarias para garantizar la seguridad de los datos personales y evitar su
alteración, pérdida, tratamiento o acceso no autorizado.
Mi empresa tiene que interpretar el cumplimiento de este deber como un beneficio,
porque la adopción de las medidas de seguridad evitan la producción de los perjuicios
derivados de la pérdida de información relevante por no tener una copia de seguridad.
¿Qué niveles de seguridad existen?
La normativa española clasifica las medidas de seguridad que deben adoptarse en tres
niveles:
-
Nivel básico, aplicable a todos los ficheros de datos personales.
Nivel medio, aplicable a los ficheros con datos relativos a la comisión de
infracciones administrativas o penales, entre otros.
Nivel alto, aplicable a los ficheros que contengan datos especialmente protegidos
(ficha II).
Medidas de seguridad de nivel básico
Todos los ficheros de datos personales deben reunir las medidas de seguridad de nivel
básico. Destacan:
-
La existencia de un Documento de Seguridad.
La realización de copias de seguridad semanalmente, salvo que en este período
no se hayan actualizado los datos.
Existencia de mecanismos, como las contraseñas, para acceder a los ficheros.
Medidas de seguridad de nivel medio
El nivel medio exige el cumplimiento de las medidas de seguridad propias del nivel básico
y de otras adicionales, tales como:
-
Existencia de la figura del Responsable de Seguridad.
Existencia de un registro de entrada y salida de soportes que contengan
datos personales.
Realización de una auditoría sobre el cumplimiento de la normativa de seguridad,
al menos cada dos años.
Para saber más:
Artículos 9 LOPD y RMS
LEGALIA
LA SEGURIDAD DE LOS DATOS
XV
SEGUNDA PARTE
Medidas de seguridad de nivel alto
El nivel alto exige, junto con el cumplimiento de las medidas de seguridad del nivel
básico y del nivel medio, otras medidas adicionales como la existencia de un registro de
accesos a los ficheros con datos personales (a través de mecanismos técnicos que
tengan incorporada la función de la trazabilidad).
Eso significa que, de cada acceso, debe quedar registrado: la identidad de la persona que
ha realizado el acceso, la fecha y hora del acceso, el fichero accedido, el tipo de acceso,
si ha sido autorizado o denegado, y el registro concreto al que se ha accedido.
Plazos de adopción de las medidas
Mi empresa tiene el deber de adoptar las medidas del nivel de seguridad que corresponda
a los ficheros, según la naturaleza de los datos personales almacenados. Las medidas de
seguridad deben adoptarse de forma simultánea a la creación del fichero y
tratamiento de los datos.
Los plazos transitorios establecidos por la legislación vigente para los ficheros que ya
existieran con anterioridad a su entrada en vigor, ya han finalizado salvo para los datos
almacenados únicamente en soporte papel, en los que podrán adoptarse las medidas de
seguridad hasta el año 2007
Especial referencia al Documento de Seguridad
El Documento de Seguridad debe recoger la normativa de seguridad de mi empresa
en lo relativo al tratamiento de datos personales, y en él han de figurar todas las
medidas de seguridad que deben cumplirse para garantizar la integridad y
confidencialidad de los datos almacenados en los ficheros.
Todos los trabajadores de mi empresa que, en el desarrollo de sus funciones tienen
acceso a los datos almacenados en los ficheros, deben conocer y cumplir las medidas de
seguridad contenidas en el Documento.
La figura del Responsable de Seguridad
El Responsable de Seguridad es aquella persona designada por mi empresa, de entre sus
empleados, u otra persona o empresa ajena a la mía, para coordinar y controlar el
cumplimiento de las medidas de seguridad, tanto técnicas como organizativas.
En caso de incumplimiento de las medidas de seguridad, es mi empresa, como
responsable de los ficheros, quien asume la responsabilidad que se derive.
Para saber más:
Artículos 9 LOPD y RMS
LEGALIA
XVI
EL DEBER DE SECRETO Y LA CONFIDENCIALIDAD
¿Qué es?
El responsable del fichero y quienes intervienen, como empleados o proveedores,
en cualquier fase del tratamiento de los datos personales, están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones
subsisten aun después de cancelados o anulados los datos y los ficheros, y después de
finalizar sus relaciones con el responsable del fichero.
Un claro ejemplo de vulneración del deber de secreto lo constituye el abandono de la
documentación de una empresa en contenedores de basura, sin haber procedido a su
previa destrucción.
¿A quién se extiende?
El deber de secreto se impone a mi empresa, como responsable de los ficheros de datos
personales y se extiende a todos los empleados de la misma que, en el desarrollo de
las funciones que les son encomendadas, tienen acceso a los datos.
Los empleados de mi empresa tienen la obligación de guardar el secreto de los datos
personales que conozcan incluso después de finalizada la relación laboral.
Es conveniente que los contratos de trabajo incluyan una cláusula de confidencialidad.
¿Cómo garantizar su cumplimiento?
Mi empresa tiene que adoptar una adecuada política de confidencialidad de los
datos personales con la finalidad de garantizar su secreto.
Esta política de confidencialidad debe ser conocida por todos los trabajadores que tienen
acceso a los datos personales almacenados en los ficheros. Esto se garantiza bien a
través de cláusulas contractuales, bien a través de la realización de cursos o jornadas de
formación, con la precaución de que los trabajadores firmen el certificado de asistencia
obligatoria a las mismas.
Modelo de cláusula de confidencialidad para contratos de trabajo.
En el contrato de trabajo suscrito con cada empleado que acceda a datos personales,
deberá incluirse una cláusula del siguiente tenor literal:
“El trabajador tiene y asume la obligación de guardar el secreto y la confidencialidad de
toda la información de la empresa a la que tenga acceso durante la vigencia del presente
contrato, especialmente la información relativa a personas físicas recogida en ficheros de
datos personales. Esta obligación subsistirá aun después de finalizada la relación laboral.
El trabajador será responsable de todos los daños y perjuicios que para la empresa se
deriven como consecuencia del incumplimiento doloso o culposo de dicha obligación”.
Para saber más:
Artículos 10 LOPD
Página 29 del anexo I
LEGALIA
XVII
TRANSFERENCIA INTERNACIONAL DE DATOS
¿Qué es?
La transferencia internacional de datos personales es la exportación de los mismos a
países que no ofrecen un nivel de protección equiparable al español.
El movimiento de datos personales entre los Estados que forman la Unión Europea es
enteramente libre porque en todos ellos se garantiza un nivel de protección semejante, a
través de las Directivas europeas y las leyes internas dictadas en su desarrollo.
Requisitos
Únicamente pueden exportarse datos personales a países distintos de los que integran la
Unión Europea si su normativa ofrece un nivel de protección de datos de carácter
personal equiparable al comunitario.
Las Órdenes del Ministerio de Justicia e Interior y del Ministerio de Justicia de 2 de
febrero de 1995 y de 31 de julio de 1998 establecen la relación de países cuya
normativa tiene un nivel de protección de datos de carácter personal equiparable a la Ley
española.
Evaluación por la Agencia
Si mi empresa pretende exportar los datos almacenados en los ficheros a un país que no
forma parte de la Unión Europea y que no aparece en las citadas Órdenes, debe pedir
autorización previa a la APD.
En tal caso, la APD valorará si el país de destino ofrece un adecuado nivel de protección
de los datos personales, y autorizará o no la transferencia internacional solicitada.
Excepciones
La LOPD establece una serie de excepciones, en las que no es necesario solicitar y
obtener la previa autorización de la APD para realizar la transferencia internacional de los
datos.
De entre esas excepciones, como empresario me afectará el supuesto en el que el
titular de los datos personales haya dado su consentimiento inequívoco a la
transferencia, para lo cual debe haber sido informado adecuadamente.
Para saber más:
Artículo 33 LOPD
LEGALIA
LOS DERECHOS DE LOS INTERESADOS
XVIII
PRIMERA PARTE
¿A qué obligan a la empresa los derechos de los interesados?
El titular de los datos personales almacenados en los ficheros de mi empresa tiene una
serie de derechos con respecto al tratamiento de los mismos. Esos derechos son:
!
!
!
Impugnación de valoraciones
Consulta al Registro General
Derecho de acceso a sus datos
!
!
!
Derecho de rectificación de sus datos
Derecho de cancelación de sus datos
Derecho de oposición al tratamiento
Algunos de estos derechos suponen correlativos deberes para mi empresa como
responsable de los ficheros. Mi empresa tiene la obligación de facilitar el ejercicio de tales
derechos por parte del interesado.
El derecho de impugnación de valoraciones
El afectado puede impugnar los actos administrativos o decisiones privadas que
implican una valoración de su comportamiento, cuyo único fundamento sea un
tratamiento de datos personales que ofrezca una definición de sus características o
personalidad.
Es el caso, por ejemplo, de las técnicas de “scoring” en la contratación. Permiten valorar
de forma automática si las características de una persona se adecuan a los requisitos
exigidos por una empresa que le va a contratar.
El derecho de consulta al Registro
Cualquier persona puede dirigirse al Registro General de Protección de Datos con la
finalidad de conocer la existencia de tratamientos de sus datos personales, las finalidades
con que se tratan y la identidad del responsable del fichero donde están almacenados.
El Registro General de Protección de Datos es de consulta pública y gratuita. Para mi
empresa supone la obligación correlativa de inscribir mis ficheros en ese registro
(ficha XXII)
El derecho de acceso
El afectado tiene derecho a solicitar a mi empresa, como responsable del fichero donde
se almacenan sus datos, que le informe sobre cuáles son los datos almacenados, el
modo en que mi empresa los ha obtenido y las cesiones que mi empresa haya hecho a
terceras personas.
Recibida la solicitud, si mi empresa tiene datos del afectado en sus ficheros, debe
contestarle en el plazo de diez días atendiendo el ejercicio del derecho de acceso.
Para saber más:
Artículos 13, 14 y 15 LOPD
LEGALIA
LOS DERECHOS DE LOS INTERESADOS
XIX
SEGUNDA PARTE
El derecho de rectificación
El afectado puede solicitar a mi empresa, como responsable del fichero, que corrija o
complete uno o varios de sus datos que estén almacenados en el fichero de forma
errónea o incompleta.
Tiene derecho a que actualicemos datos como cambios de domicilio, u otros similares. Mi
empresa tiene la obligación de corregir o completar los datos en el plazo de 10 días
desde que el afectado ha formulado su solicitud.
El derecho de cancelación
El interesado, alegando una causa justificada, puede solicitar a mi empresa que sus
datos sean excluidos del fichero, revocando el consentimiento que en su día otorgó
para que fueran incorporados al mismo. Puede ser total o parcial, por afectar a todos o
sólo a parte de los datos tratados en nuestro fichero.
Mi empresa tiene la obligación de hacer efectivo el derecho de cancelación en el plazo
de 10 días, salvo que el mantenimiento de sus datos en el fichero sea necesario para el
mantenimiento o cumplimiento de la relación que le une con mi empresa.
El derecho de oposición
Consiste en el derecho que tienen los titulares de datos, cuando su consentimiento
no sea necesario para el tratamiento, de oponerse al mismo una vez tengan
conocimiento de que se ha producido. La oposición puede ser total o parcial en cuanto a
las finalidades del fichero en el que sus datos están almacenados.
En tal supuesto, mi empresa tiene la obligación de cancelar sus datos del fichero, a su
simple solicitud y sin gastos, en el mismo momento en que se reciba el requerimiento.
La tutela de los derechos
El afectado al que se deniegue, total o parcialmente, el ejercicio de sus derechos de
oposición, acceso, rectificación o cancelación puede ponerlo en conocimiento de la
APD (fichas XX y XXI).
Se inicia entonces un procedimiento para la atención del ejercicio de la tutela, que
termina con una resolución de la APD y puede dar lugar a la imposición de
sanciones.
Para saber más:
LEGALIA
LA AGENCIA DE PROTECCION DE DATOS
XX
Cuestiones generales
¿Qué es?
La Agencia de Protección de Datos es un ente de derecho público, con personalidad
jurídica propia y plena capacidad pública y privada, que actúa con plena independencia
de las Administraciones públicas en el ejercicio de sus funciones.
El Estatuto de la Agencia de Protección de Datos (APD) fue aprobado por el Real Decreto
428/93, de 26 de marzo.
¿Para qué sirve?
Las funciones que la APD tiene encomendadas se resumen en una principal: velar por el
cumplimiento de la legislación sobre protección de datos y controlar e interpretar
su aplicación, en especial en lo relativo a los derechos de información, acceso,
rectificación, oposición y cancelación de los datos.
La facultad inspectora
-
La APD, a través de sus autoridades de control, puede inspeccionar los ficheros
de datos de carácter personal de mi empresa.
-
A tal efecto, pueden solicitar a mi empresa la exhibición o el envío de
documentos y datos y examinarlos en el lugar en que se encuentren
depositados, así como inspeccionar los equipos físicos y lógicos utilizados por
mi empresa para el tratamiento de los datos, accediendo a los locales donde
se hallen instalados.
-
Los funcionarios que ejerzan la inspección tienen la consideración de autoridad
pública en el desempeño de sus cometidos.
Para saber más:
LEGALIA
LA AGENCIA DE PROTECCION DE DATOS
XXI
La potestad sancionadora
¿Qué es?
Es la facultad que tiene la APD de imponer sanciones a los responsables de los ficheros
de datos personales que hayan incumplido las obligaciones que establece la normativa de
protección de datos.
Los responsables de los ficheros están sujetos al régimen sancionador que se expone a
continuación.
Infracciones
El incumplimiento de los deberes impuestos a mi empresa, como responsable de los
ficheros, puede ser constitutivo de las siguientes infracciones:
-
Leves, como el incumplimiento del deber de secreto profesional.
Graves, como impedir el ejercicio de los derechos del interesado.
Muy graves, como la cesión de datos personales fuera de los casos permitidos.
Sanciones
Tramitado el correspondiente procedimiento sancionador, si la APD considera que la
conducta del responsable del fichero es constitutiva de alguna de las infracciones que
establece la LOPD, puede imponer las siguientes sanciones:
-
Leves: multa de hasta 60.101 €.
Graves: multa de hasta 300.506 €.
Muy graves: multa de hasta 601.012 €.
Deben tenerse en cuenta los siguientes plazos de prescripción:
-
Infracciones leves: 1 año.
Infracciones graves: 2 años.
Infracciones muy graves: 3 años.
-
Sanciones leves: 1 año.
Sanciones graves: 2 años.
Sanciones muy graves: 3 años.
Para saber más:
Artículos 43, 44, 45 y 47 LOPD
LEGALIA
XXII
LA INSCRIPCION DE LOS FICHEROS
¿Qué es?
La inscripción de los ficheros de datos personales es el deber que tiene mi empresa de
notificar a la Agencia de Protección de Datos la existencia y creación de los
ficheros de los que sea responsable.
Dentro de la APD, el Registro General de Protección de Datos es el órgano que tiene por
objeto la inscripción de los ficheros.
Mi empresa, como responsable, tiene la obligación de notificar previamente a la APD la
creación de sus ficheros de datos personales.
Si antes del 14 de enero de 1999 mi empresa ya tenía los ficheros de datos personales, y
éstos son automatizados, deben inscribirse en el plazo de 3 años desde esa fecha.
Si son ficheros no automatizados (recogidos únicamente en formato papel) el plazo
finaliza el 24 de octubre de 2007.
¿Cómo se hace?
El procedimiento de inscripción de los ficheros es sencillo. Consiste en cumplimentar un
“Modelo de notificación de tratamiento de datos de carácter personal” por cada
fichero y remitirlo a la APD, bien en soporte papel o a través de la página web
www.agenciaprotecciondatos.org
Deben cumplimentarse obligatoriamente la “Hoja de Solicitud” y los apartados de:
“Responsable”, “Nombre del Fichero”, “Sistema de Tratamiento”, “Medidas de
Seguridad”, “Estructura”, “Finalidad” y “Procedencia”.
¿Dónde se inscriben los ficheros?
La inscripción del fichero se acuerda por el Director de la Agencia de Protección de Datos,
a propuesta del Registro General de Protección de Datos, siempre que la notificación
contenga la información necesaria. A tal fin, si no se hace a través del página web,
deberá remitirse a la APD (C/ Sagasta, 22. C.P. 28004 – Madrid)
Si la APD considera que faltan datos o no son correctos, lo comunicará a mi empresa
para que pueda corregirlo o completarlo en el plazo de diez días.
Para saber más:
Artículo 26, 39 y Disp. Adicional 1ª LOPD
LEGALIA
LA MODIFICACION DE LOS FICHEROS
XXIII
¿Qué es?
La modificación de los ficheros de datos personales es el deber que tiene mi empresa de
notificar a la Agencia de Protección de Datos las modificaciones que se han
producido en los ficheros de los que sea responsable.
Lógicamente, mi empresa sólo puede notificar las modificaciones producidas en los
ficheros que previamente se hayan inscrito. Es necesario indicar el código de inscripción
del fichero que se modifica, que fue asignado por la APD en el momento de su
inscripción.
Mi empresa, como responsable de los mismos, tiene que notificar a la Agencia de
Protección de Datos los cambios que se puedan producir en los ficheros que están
inscritos a su nombre en el Registro General de Protección de Datos.
Por ejemplo, en el caso de que mi empresa almacene nuevos datos en su Fichero de
Clientes, que por tanto no figuran en el modelo de notificación que se envió a la APD
cuando se inscribió el fichero.
¿Cómo se hace?
Mi empresa tiene que cumplimentar determinados apartados del “Modelo de notificación
de tratamiento de datos de carácter personal”. En concreto:
- La denominada “Hoja de solicitud”, indicando que se solicita la “inscripción de
modificación del fichero”, los datos de la persona que efectúa la notificación y la
dirección a efectos de notificación.
- El apartado de “Modificación” de la página 12.
- La página o páginas correspondientes a los apartados que se quieren modificar.
¿Dónde se notifica la modificación de los ficheros?
El “Modelo de notificación de tratamiento de datos de carácter personal” puede obtenerse
a través de la página web de la APD www.agenciaprotecciondatos.org.
Una vez cumplimentados los apartados correspondientes, se remitirá a la Agencia de
Las modificaciones producidas y notificadas serán inscritas en el Registro General de
Para saber más:
LEGALIA
XXIV
LA SUPRESION DE LOS FICHEROS
¿Qué es?
La supresión de los ficheros consiste en la notificación a la Agencia de Protección de
Datos, por medio de la cual se pone en su conocimiento que un fichero de los que mi
empresa sea responsable ha dejado de existir.
Lógicamente, sólo se notifica a la APD la supresión de ficheros que previamente habían
sido inscritos en el Registro General de Protección de Datos.
La supresión puede afectar a todos los ficheros, por ejemplo en el caso de extinción de la
empresa, con la consiguiente supresión de todos los ficheros que fueron creados para el
desarrollo de su actividad u objeto social.
Es posible que la supresión afecte sólo a alguno de los ficheros de mi empresa, como el
Fichero de Clientes Potenciales, en el caso de que se tome la decisión de no hacer
publicidad desde la propia empresa y contratar estos servicios a una empresa de
marketing.
¿Cómo se hace?
Mi empresa tiene que cumplimentar determinados apartados del “Modelo de notificación
de tratamiento de datos de carácter personal”. En concreto:
- La denominada “Hoja de solicitud”, indicando que se solicita la “inscripción de
supresión del fichero”, los datos de la persona que efectúa la notificación y la
dirección a efectos de notificación.
- El apartado de “Supresión” de la página 12.
La página o páginas correspondientes a los apartados que se quieren modificar
¿Dónde se notifica la supresión de los ficheros?
El “Modelo de notificación de tratamiento de datos de carácter personal” puede obtenerse
a través de la página web de la APD www.agenciaprotecciondatos.org.
Una vez cumplimentados los apartados correspondientes, se remitirá a la Agencia de
El proceso finaliza con la notificación por la APD de la supresión del fichero.
Para saber más:
Artículo 39 LOPD
LEGALIA

Manual Práctico de Protección de Datos

Transcripción

Documentos relacionados

datos del alumno para la fct cfgm .

Información sobre la Ley Orgánica de Protección de Datos (LOPD)

Política de Privacidad

1.- En Run Academy, marca registrada por El Corte Inglés estamos